وتواجه Microsoft انتقادات متزايدة فى أعقاب هجوم الشهر الماضى على Azure، وفى منشور على LinkedIn، قال أميت يوران، الرئيس التنفيذى لشركة الأمن السيبرانى Tenable، إن سجل Microsoft للأمن السيبرانى “أسوأ مما تعتقد” ولديه مثال يدعمه.
وفى 12 يوليو كشفت Microsoft عن اختراق كبير استهدف منصتها Azure، والتى تتبعها إلى مجموعة قرصنة صينية تعرف باسم Storm-0558. أثر الهجوم على حوالى 25 منظمة مختلفة وأسفر عن سرقة رسائل بريد إلكترونى حساسة من مسؤولين فى الحكومة الأمريكية.
وفي الأسبوع الماضى، أرسل السناتور رون وايدن (ديمقراطى عن ولاية أوريغون) خطابًا إلى وزارة العدل الأمريكية، يطلب فيها تحميل Microsoft المسؤولية عن “ممارسات الأمن السيبرانى المهملة”.
لدى يوران المزيد ليضيفه إلى حجج السناتور، حيث كتب في رسالته أن مايكروسوفت أظهرت “نمطًا متكررًا من ممارسات الأمن السيبراني المهملة” ، مما يمكّن المتسللين الصينيين من التجسس على حكومة الولايات المتحدة، كما كشف عن اكتشاف Tenable لخلل إضافي في الأمن السيبراني في Microsoft Azure ويقول إن الشركة استغرقت وقتًا طويلاً لمعالجته.
اكتشف Tenable الخلل في البداية في مارس ووجد أنه يمكن أن يمنح الجهات الفاعلة السيئة الوصول إلى البيانات الحساسة للشركة ، بما في ذلك البنك ويزعم يوران أن Microsoft استغرقت “أكثر من 90 يومًا لتنفيذ إصلاح جزئي” بعد أن أبلغت Tenable الشركة ، مضيفًا أن الإصلاح ينطبق فقط على “التطبيقات الجديدة المحملة في الخدمة”. وفقًا ليوران ، لا يزال البنك وجميع المؤسسات الأخرى “التي أطلقت الخدمة قبل الإصلاح” متأثرة بالعيب – ومن المحتمل ألا تكون على دراية بهذا الخطر.
ويقول يوران إن مايكروسوفت تخطط لإصلاح المشكلة بحلول نهاية سبتمبر ، لكنها تصف الرد المتأخر بأنه “غير مسؤول إلى حد كبير ، إن لم يكن إهمالًا صارخًا”. كما يشير إلى بيانات من مشروع Google’s Project Zero ، والتي تشير إلى أن منتجات Microsoft شكلت 42.5 % من جميع ثغرات يوم الصفر المكتشفة منذ عام 2014.
وكتب يوران: ما تسمعه من Microsoft هو” ثق بنا فقط “، لكن ما تحصل عليه هو القليل من الشفافية وثقافة التشويش السام. “كيف يمكن لرئيس CISO أو مجلس الإدارة أو الفريق التنفيذي أن يعتقد أن Microsoft ستفعل الشىء الصحيح بالنظر إلى أنماط الحقائق والسلوكيات الحالية؟”
ذكرت شركة الأمان Wiz الأسبوع الماضي أن الاختراق على Azure ربما كان بعيد المدى أكثر مما كان يعتقد في الأصل ، على الرغم من أن مايكروسوفت عارضت النتائج التي توصلت إليها منذ ذلك الحين .
ورد مدير Microsoft الكبير جيف جونز على انتقادات يوران فى بيان أرسل عبر البريد الإلكترونى إلى The Verge :
نحن نقدر التعاون مع مجتمع الأمان للكشف بشكل مسؤول عن مشكلات المنتج. نحن نتبع عملية شاملة تتضمن تحقيقًا شاملاً، وتطوير التحديث لجميع إصدارات المنتجات المتأثرة، واختبار التوافق بين أنظمة التشغيل والتطبيقات الأخرى.
وفي نهاية المطاف، يعد تطوير التحديث الأمنى بمثابة توازن دقيق بين حسن التوقيت والجودة، مع ضمان حماية العملاء إلى أقصى حد مع تقليل إزعاج العميل إلى أدنى حد.
وشاركت Microsoft في العديد من خروقات البيانات الحديثة ، بما في ذلك قرصنة Solar Winds الشهيرة التي أثرت على الوكالات في جميع أنحاء حكومة الولايات المتحدة. عانت الشركة أيضًا من هجوم أثر على أكثر من 30000 مؤسسة بسبب عيوب في برنامج Microsoft Exchange Server ، وستجبر الحكومة الأمريكية الشركات قريبًا على أن تصبح أكثر صراحة بشأن القضايا الأمنية ، حيث ستطلب القواعد الجديدة في لجنة الأوراق المالية والبورصات من الشركات الكشف عن الاختراق في غضون أربعة أيام من اكتشافه.
